Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 25 September 2014

2014.09.25 - Nyhetsbrev

Kritisk sårbarhet i Bash. Sårbare systemer bør patches så fort som mulig.

Kritisk sårbarhet i Bash

Bash (Bourne Again Shell) er et "shell" eller system for å kjøre kommando-linjer på Unix/Linux og andre systemer. Det er oppdaget en kritisk sårbarhet i måten Bash tolker miljøvariabler som blir sendt inn til shellet. Denne svakheten gjør det mulig å få utført valgfrie kommandoer dersom det er mulig å sette variabler.

I første omgang rammer svakheten først og fremst web-servere, og spesielt de som benytter seg av cgi-scripts. Det er allerede kartlagt over 3000 slike sårbare web-servere på nettet, men det finnes antakeligvis mange flere. Andre tjenester som kan nås fra eksterne maskiner og kjører kommandoer via Bash kan også være sårbare.

Det virker foreløpig ikke som om dette vil bli noe stort problem på systemer som benyttes av sluttbrukere. Android-enheter og de aller fleste "embedded devices" benytter ikke Bash. Dersom de bruker et shell er dette som oftest BusyBox, som ikke er sårbar. Det virker heller ikke som om dette er en umiddelbar trussel mot OS X, så lenge maskinen ikke har tjenester direkte eksponert mot nettet. Det ble spekulert i om DHCP-klienten i OS X kunne være sårbar, men det skal ikke være tilfellet.

Forskjellige leverandører har allerede begynt å slippe oppdateringer for svakheten. Alle sårbare systemer bør oppgraderes så fort som mulig, spesielt systemer som eksponerer tjenester mot Internet. Den første patchen for svakheten, som ble sluppet av RedHat, viste seg å være lett å omgå. De jobber nå med en ny versjon.
Referanser
https://access.redhat.com/articles/1200223
https://www.invisiblethreat.ca/2014/09/cve-20[...]
http://blog.erratasec.com/2014/09/bash-bug-as[...]
http://lcamtuf.blogspot.no/2014/09/quick-note[...]
http://www.csoonline.com/article/2687265/appl[...]

Java-fri BankID 2.0 er lansert

Java-fri BankID 2.0 ble lansert i dag, onsdag den 23. september.
Referanser
http://www.digi.no/930593/java-fri-bankid-lan[...]

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.